Pokémon GO "nhái" chứa mã độc tống tiền
Mới đây, nhà nghiên cứu bảo mật Michael Gillespie đã phát hiện ra một loại ransomware (mã độc tống tiền) mới được gọi là “Hidden-Tear” trên ứng dụng Pokémon Go.
Pokémon GO là tựa game săn bắt thú ảo do Niantic phát hành, hiện tại đã nó có sẵn trên hai nền tảng Android và iOS, thu hút hàng triệu người dùng trên toàn thế giới.
Tội phạm mạng đã tạo ra ransomware (mã độc tống tiền) có cùng tên với trò chơi Pokémon Go và tấn công người dùng Windows.
Nhà nghiên cứu an ninh Michael Gillespie cho biết: “Loại ransomware này đầu tiên sẽ mã hóa tất cả tập tin có phần mềm mở rộng .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, Sql, .mdb,. sln, php, asp, aspx, .html, .xml, .psd, .htm, .gif, .png…”.
Những tập tin nào bị ảnh hưởng sẽ có thêm phần mở rộng .locked ở phía sau. Khi việc mã hóa hoàn tất, ransomware sẽ hiển thị thông điệp yêu cầu nạn nhân gửi email đến địa chỉ… để nhận được hướng dẫn giải mã.
Kiểu tấn công mã hóa của Hidden-Tear khá quen thuộc và tương tự như những phần mềm độc hại khác, yêu cầu người dùng gửi tiền chuộc để giải mã tập tin.
Khi máy tính bị lây nhiễm, phần mềm độc hại sẽ tạo ra một tài khoản “nằm vùng” và có quyền hạn cao nhất trong Windows với tên gọi “Hack3r”, điều này cho phép tội phạm mạng có thể truy cập từ xa vào máy tính nạn nhân ở bất cứ đâu. Đặc biệt, dấu vết liên quan đến tài khoản này đều được ẩn đi bằng Registry, khiến cho việc tìm kiếm hoặc xóa tương đối khó khăn.
Giống như nhiều phần mềm độc hại khác, ransomware trên Pokémon Go sẽ cố gắng lây nhiễm sang nhiều máy tính khác thông qua file thực thi autorun.inf. Đồng thời nó sẽ tạo thêm một bản sao lưu và lây sang các ổ đĩa khác trên máy tính, tự kích hoạt mỗi khi người dùng khởi động hệ thống.
Hidden-Tear được cho là vẫn đang trong giai đoạn phát triển, bởi nó sử dụng AES Key ở dạng cố định và máy chủ lại trỏ về một địa chỉ IP cá nhân.
Để tránh gặp phải các trường hợp trên, người dùng nên cài đặt Pokémon Go từ App Store hoặc Google Play, hạn chế tải các tập tin APK từ những trang không rõ nguồn gốc.